악성코드 침투 후 포렌식 분석

1. 바탕화면 설치 여부 확인

OSForensics 다운로드 및 설치

2. 무결성 검사

해시값을 이용하여 무결성을 입증

3. 무료 버전 제한

무료 버전에서는 최대 3개의 케이스만 생성 가능. 기존 케이스 삭제 후 진행

4. 포렌식 시나리오

  • 1) 컴퓨터 부팅 시간 확인
  • 2) 실제 사용자는 누구인가?
  • 3) 방문한 웹사이트 확인
  • 4) 다운로드한 파일 확인
  • 5) 실행된 파일 확인

5. RID 및 포렌식 데이터

  • RID (Relative Identifier) : 비교 식별 값
  • F (Fixed format) : 고정적 형식
  • V (Variable format) : 유동적 형식

6. 로그인 정보

  • 마지막 로그인 시각: D2 86 B5 0F 55 65 DA 01
  • 마지막 패스워드 변경 시각: 24~31
  • 마지막 실패 로그인 시각: 40~47
  • 로그온 회수: 2F 00 → 47회

7. NTUSER.DAT 분석

각 계정별 NTUSER.DAT 파일 존재:

  • manager, smh
  • /home/manager/bashrc
  • /etc/.profile

8. 레지스트리 분석

  • 최근 문서: Software\Microsoft\Windows#CurrentVersion\Explorer\RecentDocs
  • 자동 실행 프로그램: Software\Microsoft\Windows#CurrentVersion\Run
  • 웹브라우저 기록:
    • IE/Edge: Software\Microsofitwinternet Explorer\TypedURLs
    • Edge: Software#Microsoft#Edge#TypedURLs
    • Firefox: Software\Mozilla\Mozilla Firefox
    • Chrome: Software\GoogleChrome\PreferenceMACs
  • USB 장치 연결 기록: SoftwareMicrosoft\Windows\CurrentVersion#Explorer#MountPoints2
  • 최근 실행 명령어: Software\Microsoft\Windows#CurrentVersion#Explorer\RunMRU
  • 바탕화면 및 개인화 설정: Control Panel\Desktop
  • 최근 검색 기록: Software\Microsoft\Windows\CurrentVersion\Explorer\WordWheelQuery
minho | minho2054@naver.com | @minho